Klinkt als een relatief klein probleem , en alsof jij denkt dat je de grote jackpot gevonden hebt.

Meld het in de lijn van je organisatie - liefst voorzien van een verbeterplan , en stel voor dat jij die verbeteringen gaat invoeren.

Zit je aan de buitenkant (ipv van werknemer die ongewild wat meer mogelijkheden heeft dan de bedoeling was) - meld het bij voordeur . (dwz, een security contact, cert team etc) .
Als de organisatie een bug bounty oid heeft is dat je voordeel .

Je andere carriere voordeel _kan_ een artikel/publicatie zijn nadat het probleem opgelost is . Of je daar punten mee scoort het natuurlijk af van hoe slim/indrukwekkend de vondst was.

Wat bedoel je met software fouten benutten? Je meldt ze aan het bedrijf waar je ongeautoriseerd toegang tot data hebt. Benutten wil zeggen dat je misbruik maakt van gegevens of wel strafbaar bezig zijn.

Verder is het zeer verstandig niet de rechten verder uit te gaan testen. Zonder enige vrijwaring ben je wederom strafbaar bezig en je kan aansprakelijk gesteld worden voor het veroorzaken van een datalek. Als je de gegevens al gedownload hebt dan doe je er verstandig aan deze per omgaande te verwijderen en eerlijk te zijn dat je dus een data exfiltratie hebt gedaan met zo accuraat mogelijke tijd en datum vermelding of dit nu per ongeluk of als test is gedaan doet er niet toe voor het AP en de AVG.Er is data ingezien buiten datacontroller, processer en bevoegde data subject. Dit komt hoe dan ook naar voren bij een audit dus het niet melden is eigen glazen ingooien.

Zoek even op of ze een /security.txt hebben of andere abuse, bug melding adres met hun procedure omschrijving.
Of het wat voor je oplevert bij ze geen idee dat moet je wederom met hun bespreken.
Mischien hebben ze een bug reward program in dat geval kan er mogelijk een geld bedrag of naam vermelding voor je inzitten. Dit soort programmas stellen wel vaak strenge eisen aan de melding formulering met complete uitleg voor reproductie van het beweerde beveiliging lek.

Als het bedrijf interesse heeft in verdere bevindingen of onderzoek zullen ze dit aan je doorgeven. Als je vermoed dat dit grotere gevolgen heeft dan is het verstandig je aanvraag in te sturen en er achteraan te bellen. Hou er echter rekening mee dat je mogelijk enkel krijgt te horen dat ze kennis hebben genomen ervan en of het hebben opgelost. Meeste grote bedrijven hebben hun eigen audit partners en die gaan geen bevindingen met buitenstaanders delen.

Krijg je geen reactie dan stuur je na een maand weer een mail nog geen reactie dan doe je er verstandig aan het te melden bij het AP. Eigen publicatie is niet verstandig zonder inwinning van jurdisch advies. Daar zitten veel haken en ogen aan.

Het laatste wat je wilt is het jouw probleem maken.

Gewoon melden bij het bedrijf waar je het lek ontdekt heb.
Jezelf omhoog prijzen door een Gevonden Lekken Top 10 samen te stellen en daarmee een betere positie te krijgen???? Mijn deur gaat niet voor je open. Als je mij verteld hoe je het op een profesionele manier aanhangig hebt gemaakt maak bij mij eerder indruk en kans op een baan.

Ik heb geen www.securitytxt.org/ ontdekt bij de primaire actor. Niet bij de logistieke actor die voor elke getroffen organisatie verantwoordelijk is voor de orderafhandeling van Europese orders. .

Toegang tot de database wordt verschaft via vaste login-informatie waarbij relevante zaken ontbreken; zoals role-based,  2FA, enz., waardoor de directe beschreven toegang tot de orderdatabase de norm is.  Met als gevolgen het downloaden van Europese NAW-klant en orderdata door derden de praktijk is.

Voor mijn beeldvorming hoezo en waardoor zou deze ontdekking 'klein' zijn terwijl in de praktijk de onderstaande 7 van de OWASP top 10... en de keten bestaat een hoofdfactor die via eigen platform en platform van B2C actors in Europa aan Europese klanten verkopen. Waardoor dit de realisieit is.


Actor 1 verkoopt rechtstreeks via zijn eigen kanalen en ook via andere websites. Actor 2 verkoopt de producten van actrr 1 en verkoopt ze aan Europese klanten direct en via een winkel-in-winkel systeem.
Alle bestellingen worden verwerkt door het getroffen logistieke bedrijf, waarbij er een achterdeur voor de database open staat door de samengang.
Hoe classificeren jullie nu de actuele grootte? Waardoor en wat maakt mijn ontdekking wel relevant ?

De onderstaande OWASP zijn er van de top 10 er 7 van toepassing , hierdoor heb ik toegang tot de volledige klant en orderdata. Europese klant en orderdata ondanks recente datalekken....

Hoe slim//relevant/indrukwekkend is deze vondst ? Welk carrière voordeel heeft een artikel/publicatie van bovenstaande ontdekking?

A01:2021-Broken Access
Control A04:2021-Insecure Design 
A05:2021-Security Misconfiguration 
A06:2021-Vulnerable and Outdated
Components A07:2021-Identification and Authentication
Failures A08:2021-Software and Data Integrity Failures 
A09:2021-Security Logging and Monitoring Failures 


Met 'benutten' , bedoel ik dat ik deze ontdekking op een ethische wijze, wil benutten zodat dit bevorderlijk is voor mijn carrière.

Wat als je moest kiezen.....

1) ethiek / moreel / oprecht mens / hemel op aarde

2) leugen / verbergen / ego / hel op aarde

?

Soms is er niet altijd financial profit , maar de intrinsieke waarde van Het Goede Doen beloont in zoveel andere wegen, soms op termijn....

Het is een keuze, een betere wereld begint bij jezelf...

Met alle macht/status/aanzien/geld zou IK niet eens in een Kwade wereld willen leven...

Ik geloof dat er wel mensen zijn die voor het goede kiezen, en dat maakt deze in mijn ogen "betere mensen".

Er lopen ook slechte mensen rond, ziellloos, bestuurd door iets donkers. Dus het kan allemaal.

Ik ben blij dat u de vraag in elk geval stelt, dit getuigt van een hoog bewustzijn en intelligentie.

Hopelijk is in uw casus het mogelijk de ethiek met de carriere te combined, helaas moeten vele anderen een zwartwit keuze maken...

(Sommigen die hier meelezen)

Je moet je topic start met de ogen van een buitenstaander lezen.

"Door de samenhang kan ik" - klinkt alsof er een hele hoop toevalligheden samen moesten komen waardoor jij wat meer kon dan de bedoeling was.
Het was zelfs niet te zeggen of je daarvoor op een insider plaats moet zitten - ('als 1e lijns support engineer kon ik toevallig ook wijzigingen doen die voorbehouden zijn aan 3e lijns' - ook niet goed, maar lang niet zo erg als "de hele wereld kan" ).

Nu zeg dat je allerlei AVG leaks niet alleen 'mogelijk' zijn, maar "de praktijk" - oftewel, permanent gebeuren ?
En door 'iedereen', of alleen 'iedereen die een account heeft' .


Je kunt op de site van de AP kijken naar de boete schalen, dat geeft een inschatting.

En natuurlijk hoe makkelijk het is om te doen wat jij gevonden hebt.


Je eerste 'plicht' is om het netjes te doen - dwz, de betrokken partij(en) informeren en ruim de tijd geven om het lek te dichten, en het moet heel duidelijk zijn dat jij zelf niks fout gedaan met data waar je bij kon.
Als volledig zelfstandig persoon is dat misschien wat lastiger dan wanneer je dit 'toevallig' vindt in dienst van een werkgever in de security hoek, zeker als het betrokken bedrijf doorschiet in de reactie "boodschapper neerschieten" .

Gezien je vragen denk ik - voorzichtig aan doen. Het klinkt alsof je niet heel veel ervaring hebt.

Ik denk dat je ook de zaak 'over de muur' kunt gooien bij NCSC om partij(en) te laten informeren, en er zelf je handen vanaf trekken .
Of, als de lekke partij elders in Europa zit misschien bij dat andere nationele cert .

Afhankelijk van je carriere pad/wens kan het een plus op je CV zijn.


Welke kant wil je op met je carriere ?
Als dit richting pentesting is , is het feitelijk het werk wat je in zo'n geval doet - alleen nu zonder afspraak en toestemming. Je moet dus (veel) terughoudender zijn dan een ingehuurde pentester.

Wat je kunt bereiken is een CV item dat je iets gevonden hebt, en dat netjes hebt afgehandeld .
Als het vinden en de betrokken bugs erg bijzonder zou het je een presentatie op een conferentie kunnen opleveren.
Je kunt natuurlijk kijken naar conferenties en zijn wat er daar zoal gepresenteerd wordt , als referentie voor hoe hoog de lat ligt.

Ook al is de _impact_ groot, als de blunder van de lekke partij ook heel groot is (inlog pagina met admin/admin), dan is het 'ontdekken' ervan natuurlijk niet zo indrukwekkend, als, zeg, het bedenken van rowhammer.

Dat doe je voor je eigen zichtbaarheid (als zelfstandig onderzoeker), of die van je werkgever - laten zien wat je kunt , technisch en professioneel.